CVSS10分!Craft CMS 远程代码执行漏洞安全风险通告

admin 2025年5月9日00:00:12评论4 views字数 1410阅读4分42秒阅读模式
CVSS10分!Craft CMS 远程代码执行漏洞安全风险通告

今日,亚信安全CERT监控到安全社区研究人员发布安全通告,Craft CMS 存在一个远程代码执行漏洞,编号为 CVE-2025-32432。该漏洞源于Craft CMS处理用户输入不当,攻击者可以利用Http请求发送恶意代码,服务器将其执行,从而改变系统状态或获取敏感信息。

目前官方已发布安全更新,亚信安全CERT建议受影响的客户尽快升级至最新版本。

Craft CMS 是一款灵活且用户友好的内容管理系统(CMS),广泛应用于创建定制化的数字体验,支持网页及其他平台的内容管理。它允许用户方便地编辑和发布内容,适用于从小型博客到大型企业网站的各种项目。

漏洞编号、类型、等级和评分

  • CVE-2025-32432

  • 远程代码执行漏洞

  • 紧急

  • CVSS3.0:10分

  • CVSS2.0:9.7分

漏洞状态

细节

PoC

EXP

在野利用

复现情况

公开

公开

公开

未发现

未复现

受影响版本

  • 3.0.0-RC1 <= Craft CMS <= 3.9.14

  • 4.0.0-RC1 <= Craft CMS <= 4.14.14

  • 5.0.0-RC1 <= Craft CMS <= 5.6.16

产品解决方案

目前亚信安全怒狮引擎已第一时间新增了检测规则,支持CVE-2025-32432漏洞的检测,请及时更新TDA、AE产品的特征库到最新版本。规则编号:106065940,规则名称:Craft CMS 远程代码执行漏洞(CVE-2025-32432)。

更新方式如下:

TDA产品在线更新方法:登录系统-》系统管理-》系统升级-》特征码更新;

AE产品在线更新方法:登录系统-》管理-》更新-》特征码更新。

TDA、AE产品离线升级PTN包下载链接如下:

CVSS10分!Craft CMS 远程代码执行漏洞安全风险通告

详细下载地址请后台咨询

修复建议

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://github.com/craftcms/cms/releases/tag/5.7.4

参考链接

  • https://sensepost.com/blog/2025/investigating-an-in-the-wild-campaign-using-rce-in-craftcms/

  • https://github.com/craftcms/cms/blob/3.x/CHANGELOG.md#3915---2025-04-10-critical

  • https://github.com/craftcms/cms/blob/4.x/CHANGELOG.md#41415---2025-04-10-critical

  • https://github.com/craftcms/cms/blob/5.x/CHANGELOG.md#5617---2025-04-10-critical

  • https://github.com/craftcms/cms/commit/e1c85441fa47eeb7c688c2053f25419bc0547b47

  • https://github.com/craftcms/cms/security/advisories/GHSA-f3gw-9ww9-jmc3

本文发布的补丁下载链接均源自各原厂官方网站。尽管我们努力确保官方资源的安全性,但在互联网环境中,文件下载仍存在潜在风险。为保障您的设备安全与数据隐私,敬请您在点击下载前谨慎核实其安全性和可信度。

了解亚信安全,请点击“阅读原文”

原文始发于微信公众号(亚信安全):CVSS10分!Craft CMS 远程代码执行漏洞安全风险通告

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月9日00:00:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVSS10分!Craft CMS 远程代码执行漏洞安全风险通告http://cn-sec.com/archives/4044088.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息